Как правильно настроить обработку персональных данных на сайте?

Обработка персональных данных (ПД) допускается с предварительного согласия субъекта персональных данных на обработку его ПД. Это закреплено в пункте 1 статьи 6 и статье 15 ФЗ-152.

1) При создании сайта создайте на форме обратной связи (корзина, сбор контактов и т.п.) обязательный для заполнения чек-бокс с надписью:

• Я даю согласие ООО «Пример» (ИНН 1234567890, адрес: Москва, ул. Название, 1) на обработку моих персональных данных для оформления заказа и связи по вопросам доставки.
• Данные могут передаваться курьерской службе «Доставка24».

Посетитель должен кликнуть на чек-бокс, и только после этого у него появляется возможность отправить вам свои персональные данные.

2) На сайте должно быть оповещение о сборе файлов cookie, ведь информация из файла также содержит ПД. И здесь потребуется информированное согласие.

3) Обязательно настройте на сайте корректное хранение полученных данных пользователя сайта, потому что обязанность доказывать факт получения согласия пользователя лежит на собственнике сайта (пункт 2 статьи 9 ФЗ-152).
Фиксируйте факт получения согласия. Например:

• сохраняйте логи с датой/временем подтверждения.
• отправляйте пользователю подтверждение на email.

4) Не забывайте, что пользователь в любой момент может отозвать свои ПД. Право пользователя на блокирование, уничтожение своих ПД на сайте закреплено в пункте 1 статьи 14 ФЗ-152.
Необходимо предусмотреть простой механизм отзыва согласия. Например:

• кнопка «Отозвать согласие» в личном кабинете.
• контактная форма или email для отправки запроса – об этом напишите в тексте «Об обработке персональных данных» (укажите email).

5) Старайтесь запрашивать только действительно необходимые данные (имя, телефон, адрес почты). Пунктом 1 статьи 10 закона не допускается сбор специализированных данных (расовая принадлежность, состояние здоровья и т.п.). Для сайтов, связанных с услугами по медицинскому направлению предлагаем подробнее изучить положения статьи 10 ФЗ-152.

6) На сайте должна быть создана страница, на которой вы обязаны прописать информацию по обработке, хранению, целях сбора и т.д. (всего 10 пунктов) персональных данных посетителя сайта. Подробный перечень пунктов содержится в пункте 7 статьи 14 ФЗ-152.

7) Не забывайте, что вы, как оператор обработки персональных данных, должны выполнить ряд условий:

• Назначить приказом ответственного за организацию обработки ПД;
• Издать приказ допуске к обработке персональных данных (примерную форму приказа мы готовы отправить вам при согласии получать от нас рассылку информации);
• Разработать локальный акт «О порядке обработки персональных данных» (примерную форму акт мы готовы отправить вам при согласии получать от нас рассылку информации);
• Разработать локальный акт «О процедурах предотвращения и выявления нарушений законодательства в области персональных данных, устранении последствий таких нарушений» (примерную форму акт мы готовы отправить вам при согласии получать от нас рассылку информации);
• Разработать соглашение о конфиденциальности с работниками, имеющими доступ к ПД;
• Уведомить Роскомнадзор о сборе ПД в качестве оператора. Форму уведомления Роскомнадзора можно найти по ссылке.

8) Выполните технические настройки на сайте:

• Внедрите HTTPS (SSL-сертификат) для шифрования передаваемых данных.
• Обеспечьте безопасность хранения ПД:
• Используйте надежные пароли и двухфакторную аутентификацию для админ-панелей.
• Регулярно обновляйте CMS, плагины и системы безопасности.
• Локализуйте хранение данных россиян на серверах в РФ (если данные обрабатываются).
• Настройте регулярное резервное копирование.

Читайте далее: Респонсивный дизайн: корректное отображение сайта на различных устройствах и экранах различных размеров